CISO’lar AI tehditlerine nasıl hazırlanıyor?
Emre Savaştürk |Dgpays CISO’su Emre Savaştürk, CISO’lar AI tehditlerine nasıl hazırlanıyor? sorusunu yanıtladı.
Savaştürk şunları söyledi:
Şimdi uzun yıllardır sektörde çalışan birisi olarak bu dönüşümü kendim bizzat deneyimledim. Eskiden IT dediğimizde IT’nin içerisinde güvenlik fonksiyonu vardı. Yönettiği temel teknolojiler vardı ve bu teknolojilerin çıktıları vardı. Şimdi günümüz dünyasında cloud computing olsun, API güvenliği olsun, şu anda AI ve AI ile ilgili gelen riskler olsun inanılmaz yıkıcı şekilde siber güvenliği de tehdit eder vaziyette ilerliyor. Yani bir yandan herkesin gündeminde AI var. AI ile inanılmaz işler yapmak istiyor. Bir yandan da bizim gibi bu işin risklerini gören taraf sadece biz miyiz noktasında bayrak kaldıran ekipler var diyebiliriz. O yüzden bunun bir dengesini kurmak gerekiyor. Bu dengeyi kurarken de ne yapıyoruz? Biz en baştan dahil olduğumuzda öncelikle bir ihtiyacı anlıyoruz. İhtiyacı analiz ettiğimizde bunun için de CISO’lar hiçbir zaman olmadığı kadar artık eski formatta değiller. Eskiden çok teknik tarafta kalabiliyorduk ve sadece kendi dünyamızda yaşayabiliyorduk. Çıktılarımız zaten IT’ye hizmet ediyordu ya da ürün ve hizmetlere hizmet ediyordu. Ama günümüzde doğrudan business function’ın ortasındayız. Yani iş birimlerine çok yakın iletişim halinde olmalıyız. En baştan almalıyız, en baştan dahil olmalıyız. Bununla beraber üst yönetime derdimizi iyi anlatmamız gerekiyor. Yani AI çıktı. AI ile alakalı birçok siber güvenlik tarafında risk varsa şimdi AI’ın siber güvenlik tarafına, defans tarafına bakan da çözümler çıkıyor. Buraya biz yatırım yapmak zorunda kaldığımızda bu bir maliyet olarak algılanmamalı. Bugünün teknolojileri yarının problemlerini getirir diye. Bugünün teknolojisi AI’sa zaten bize bugün itibariyle siber risklerle ilgili de sıkıntıları getiriyor ve biz burada hiçbir zaman bariyer olmadan çözmeye çalışıyoruz. Benim kişisel yaklaşımım budur. İyi bir bilgi güvenliği yöneticisi iş ihtiyacını anlar. Kendi kırmızı çizgileri vardır ama o kırmızı çizgiler içerisinde de mutlaka çözüm üretir, bir fikir verir. Olmayacaksa bile olmayan işi neden olmadığını iyi anlatır ve olabilecek opsiyonları da masaya koyan ilk taraftır diyebiliriz. Ürünler arttıkça karmaşıklık artıyor, teknik yetkinlik artıyor ve bilgi güvenliği yöneticilerinin görevi her zamankinden daha zor dediğim gibi. Hem kaynak bulmakta, hem onları eğitmekte ve tutmakta hem bütçeleri yönetmekte hem bunları üst yönetime anlatabilmekte hem de gerçekten risk odaklı yaklaşımla kurumunuzda doğru stratejilerle yönetim yapabilmekte. Bir bariyer olmaktan ve bir masraf merkezi gibi görünmekten çıkabilmek için CISO’lar hiç olmadığı kadar daha gerçekten C-level noktada olmalı. IT’den bağımsız bir gözle üst yönetimle IT arasında köprü vazifesi kurabilmeli. Bu köprü vazifesinde de tüm paydaşları iyi anlayarak gerçekten doğru çözümler üretebilmelidir diye özetleyebilirim.
Bilgi Güvenliği ve Yapay Zeka: Yeni Dönemin Zorlukları
Bilgi güvenliği, teknolojinin hızla gelişmesiyle birlikte daha karmaşık ve zorlu bir hale gelmiştir. Özellikle yapay zeka ve bulut bilişim gibi yeni teknolojiler, siber güvenlik alanında yeni tehditler ve fırsatlar yaratmaktadır. Bu yazıda, bilgi güvenliği yöneticilerinin karşılaştığı zorluklar ve bu zorluklarla başa çıkma stratejileri ele alınacaktır.
Yapay Zeka ve Siber Güvenlik
Yapay zeka, birçok sektörde devrim yaratırken, siber güvenlik alanında da önemli etkiler yaratmaktadır. Yapay zeka, siber saldırıların daha sofistike hale gelmesine neden olurken, aynı zamanda savunma mekanizmalarının da güçlenmesini sağlamaktadır. Bilgi güvenliği yöneticileri, yapay zekanın sunduğu fırsatları değerlendirirken, getirdiği riskleri de göz önünde bulundurmalıdır.
Bulut Bilişim ve API Güvenliği
Bulut bilişim, işletmelere esneklik ve maliyet avantajı sağlarken, güvenlik açısından yeni zorluklar da getirmektedir. API güvenliği, bulut tabanlı uygulamaların güvenliğini sağlamak için kritik bir öneme sahiptir. Bilgi güvenliği yöneticileri, bulut bilişim ve API güvenliği konularında güncel kalmalı ve bu alanlarda etkili stratejiler geliştirmelidir.
İş Birimleri ile Yakın İletişim
Günümüzde bilgi güvenliği, yalnızca teknik bir konu olmaktan çıkmış, iş birimlerinin stratejik bir parçası haline gelmiştir. Bilgi güvenliği yöneticileri, iş birimleri ile yakın iletişim halinde olmalı ve onların ihtiyaçlarını anlamalıdır. Bu sayede, güvenlik stratejileri iş hedefleri ile uyumlu hale getirilebilir.
Üst Yönetimle Etkili İletişim
Bilgi güvenliği yöneticilerinin, üst yönetimle etkili bir iletişim kurması gerekmektedir. Güvenlik yatırımları, maliyet olarak değil, işin sürdürülebilirliği için bir gereklilik olarak görülmelidir. Üst yönetime, güvenlik riskleri ve bu risklerle başa çıkma stratejileri net bir şekilde anlatılmalıdır.
Kaynak Yönetimi ve Eğitim
Bilgi güvenliği alanında yetkin personel bulmak ve bu personeli eğitmek, yöneticilerin karşılaştığı önemli zorluklardan biridir. Kaynakların etkin bir şekilde yönetilmesi ve sürekli eğitim programları ile personelin güncel kalması sağlanmalıdır.
Stratejik Yaklaşımlar ve Çözümler
Bilgi güvenliği yöneticileri, risk odaklı yaklaşımlar geliştirerek, kurumlarının güvenlik stratejilerini şekillendirmelidir. Bu süreçte, teknik yetkinliklerin yanı sıra, stratejik düşünme ve problem çözme becerileri de ön plana çıkmaktadır. Yöneticiler, kurumlarının güvenlik ihtiyaçlarını anlayarak, etkili çözümler üretmelidir.
Özet
Bilgi güvenliği, teknolojik gelişmelerle birlikte daha karmaşık bir hale gelmiştir. Yapay zeka ve bulut bilişim gibi yeni teknolojiler, siber güvenlik alanında hem tehditler hem de fırsatlar yaratmaktadır. Bilgi güvenliği yöneticileri, bu zorluklarla başa çıkmak için iş birimleri ve üst yönetimle etkili iletişim kurmalı, kaynakları etkin bir şekilde yönetmeli ve stratejik çözümler geliştirmelidir. Bu sayede, güvenlik stratejileri iş hedefleri ile uyumlu hale getirilebilir ve kurumlar, gelecekteki tehditlere karşı daha dirençli hale gelebilir.
